网络卫士安全审计系统产物说明.docx
《网络卫士安全审计系统产物说明.docx》由会员分享,可在线阅读,更多相关《网络卫士安全审计系统产物说明.docx(8页珍藏版)》请在冰点文库上搜索。
![网络卫士安全审计系统产物说明.docx](https://file1.bingdoc.com/fileroot1/2023-5/28/616395b5-a0af-4fda-a880-731df5b61a20/616395b5-a0af-4fda-a880-731df5b61a201.gif)
网络卫士安全审计系统产物说明
1产品概述
网络卫士安全审计系统中的内容和行为审计子系统是由北京天融信公司自主研发的面向企业级用户、集内容审计与行为审计为一体的网络信息安全审计系统。
内容和行为审计系统以旁路的方式部署在网络中,不影响网络的性能。
内容和行为审计系统具有即时的网络数据采集能力、强大的审计分析功能以及智能的信息处理能力。
通过使用该系统,可以实现如下目标:
Ø对用户的网络行为监控、网络传输内容进行审计(如员工是否在工作时间上网冲浪、网上聊天、是否访问内容不健康的网站、员工是否通过网络泄漏了公司的机密信息等等)。
Ø实现网络传输信息的保密存储。
Ø实现网络行为后期取证。
Ø对网络潜在威胁者予以威慑。
该产品适用于对信息保密、控制非法信息传播比较关心的单位或需要实施网络行为监控的单位和部门。
如政府、军队机关的网络管理部门,公安、保密、司法等国家授权的网络安全监察部门,金融、电信、电力、保险、海关、商检、学校、军工等各行业网络管理中心,以及大中型企业网络管理中心
等。
2产品特点
●分布部署与集中管理
Ø旁路模式接入,不改变用户的网络拓扑结构,对用户的网络性能没有任何影响。
Ø分布式部署,采集引擎、数据中心、管理中心的多级分布式部署,方便灵活。
Ø集中式管理,提供SSL加密的WEB方式的集中统一管理。
●高速的多点数据采集
分布式部署数据采集引擎,优化的数据采集技术,直接从内核中采集数据包。
延迟小、效率高、实时性强。
●智能包重组和流重组
具有强大的IP碎片重组(IPFragmentsReassembly)能力和TCP流重组(TCPStreamReassembly)能力,任何基于协议碎片的逃避检测手段对本产品无效。
●自适应深度协议分析
Ø从链路层到应用层对协议进行深度分析。
Ø自动识别使用同一个端口进行通讯的不同应用协议。
例如:
HTTP、QQ、UC、SOQ都可以使用TCP协议的80端口进行通讯。
Ø自动识别同一种应用协议使用不同传输层协议进行通讯的情况。
例如:
QQ可以使用TCP协议的80端口进行通讯,也可以使用UDP协议的4000端口进行通讯。
●数据海量存储和备份
采用基于数据仓库的海量数据存储,支持百兆、千兆网络环境下,高速、大流量数据的采集、存储和备份。
●强大的数据挖掘功能
采用以相关度为核心,引入向量模型、查询串重构等技术的匹配算法,大大提高了全文检索的速度。
对用户选定时间范围内的发件内容,根据预先设定的关键词库,自动快速的进行全文检索,匹配成功的内容将以醒目的字体颜色显示。
●文件的智能分析处理
对于邮件中的附件,系统能自动解压,自动显示最终的文件给用户,并支持多达14层的压缩分解。
●高度安全性和可靠性
Ø采集引擎、数据中心和管理中心间的通讯使用身份认证和数据加密传输。
Ø系统管理平台提供基于SSL加密的WEB管理方式。
Ø分权、分级、分角色的用户管理。
Ø提供完善的系统日志审计功能。
●系统的良好可扩展性
分布式部署,集中式管理,使系统具有良好的可扩展性。
系统根据用户规模,可通过增加和减少机器方便的扩容。
面向对象的设计,减少对象间的耦合性,提高模块的独立性,在出现问题时,尽量减小问题涉及的范围。
●友好易用的界面设计
应用界面美观大方,操作方便。
3产品功能
功能
描述
支持多种应用协议的监控、还原和审计
✧Web浏览(HTTP):
能完全截获、记录、回放、归档被监测网络中所有用户浏览的WEB内容。
✧电子邮件(POP3、SMTP、WEBMAIL):
能完全截获、记录、回放、归档被监测网络中所有用户收发的电子邮件。
✧文件下载(FTP):
能记录、查询访问FTP服务器的用户名、口令,回放用户在服务器上的操作过程、还原用户传输的数据。
✧即时聊天(MSN、QQ等):
能完全记录用户登录时间、离开时间,用户登录IP地址、目的IP地址,聊天时使用的用户名;还可以监视用户聊天频率、还原用户聊天内容。
✧流媒体(MMS、RTSP):
能记录用户访问的流媒体地址,访问开始时间、结束时间,访问流媒体名称及简介。
✧远程登录(TELNET):
能记录和查询访问服务器上TELNET的用户名和口令字;能记录和回放用户在服务器上的操作过程。
强大的流量监控与统计功能
✧对重要IP进行流量监测,并绘制出直观的流量曲线图,有效发现网上出现的异常流量。
✧支持对历史流量统计分析。
强大的报表与统计功能
✧支持多种条件的统计分析。
✧完善的报表功能:
提供多种专业化报表和分析图表。
支持多种审计方式
✧实时监控:
对网络中各种应用进行实时监控分析。
✧行为监控:
可以完全记录、回放用户的网络行为。
✧内容查看审计:
支持网络数据内容的完全还原,后期可以进行内容审计、取证。
✧关键词审计:
根据设定的关键词,自动快速的进行全文检索,匹配成功的内容将以醒目字体颜色显示。
✧流量监控:
通过流量监控,有效发现网上出现的异常流量。
✧报表统计:
通过统计分析,发现网络中潜在的危险。
支持多种报警响应方式
✧邮件报警
✧阻断
✧TOPSEC联动
灵活全面的审计策略
✧采集策略
✧关键词策略
✧流量监控策略
✧报警响应策略
✧统计分析策略
强大的资源监控和日志功能
✧支持系统资源的实时监控。
✧提供完整的操作日志、系统日志记录,可以进行方便的查看、导入导出。
支持多种编码、压缩格式
✧支持多种编码方式:
Base64、Quoted-Printable、UTF-7、UTF-8。
✧支持多种压缩格式:
Zip、Rar、Arj、Gz等,可支持多达十四层的压缩。
高速、完整、海量信息处理能力
✧零拷贝高速抓包。
✧分布式数据采集、数据处理。
✧强大的包重组和流重组能力,可以监控各种基于协议碎片的逃避检测行为。
增强的自身安全性
✧基于SSL协议的加密数据传输。
✧各软硬件模块间的身份认证。
✧审计引擎不对外开放端口。
✧分权、分级、分角色的用户管理。
✧系统日志审计功能。
旁路方式接入网络
✧使用交换机镜像口、共享式HUB接入网络,不影响网络部署方式、不影响网络性能。
✧即插即用,安装非常简单。
强大便捷的部署、管理方式
✧分布式部署,集中式管理。
✧提供功能强大的串口管理功能。
✧友好易用的界面,易于上手使用。
✧提供详细的帮助,极大地减轻了管理员的负担。
4运行环境与标准
电源:
电压:
AC110/220V
频率:
50/60HZ
电流:
3.0A(最大)
功率:
260W(最大)
环境:
运行温度:
0-45摄氏度
非运行温度:
-20-65摄氏度
相对湿度:
10-90%@40摄氏度,非冷凝
国家标准:
GB/T18336-2001
GB/T18019-1999
GB/T18020-1999
参考的安全规范及标准(相对参考):
UL1950
EN41003
AS/NZS3260
AS/NZS3548ClassA
CSAClassA
FCCClassA
EN60555-2
VCCI(ClassII)抗干扰性:
IEC100042(ESO)
IEC100043(辐射敏感性)
IEC100044(电快速瞬变)
IEC100045(电源)
IEC100032(谐波)
5典型应用
内容和行为审计系统主要包括四部分组件:
审计引擎、数据中心、管理中心和WEB浏览器。
审计引擎对流经HUB/Switch的信息进行采集、分析,并把分析后的数据流发送给数据中心。
数据中心对审计引擎传送过来的数据流进行存储,同时将数据摘要信息存入数据库,在用户进行审计时对数据进行还原、解码,并按照关键字进行查询。
管理中心负责对数据中心和审计引擎策略配置的管理,可以同时管理一个或多个数据中心,并向管理人员提供WEB形式的管理界面,用于对采集到的数据信息进行审计、加工和处理。
WEB浏览器为第三方的浏览器,通过访问管理中心实现对数据中心和审计引擎的管理。
案例一:
分布式部署方案
图51分布式部署方案示意图
使用该方案,用户可以同时对多个子网进行监控、审计。
适用于用户比较多、数据流量比较大的网络环境。
用户部署多台审计引擎,多个数据中心部署在不同的服务器或PC机上,管理中心部署在一台PC机上,用户通过web浏览器登陆管理中心进行管理、审计。
案例二:
简捷的部署方案
图52简捷部署方案示意图
该方案属于简捷部署方案,用户只需要一台审计引擎,将数据中心、管理中心部署在同一台PC或服务器上。
该方案适用于用户数比较少、数据流量比较小的网络环境。